Een goede definitie van een probleem levert vaak al de helft van de oplossing. Begin je overzicht met het opsommen van alle manieren waarop mensen toegang tot je dataomgeving hebben: LAN, WAN, VPN's, terminal servers, Citrix, internet, draadloos, smartphones, BlackBerrys, FTP, noem het allemaal maar op. Vervolgens kun je al deze toegangspoorten koppelen aan typen gebruikers: werknemers, consultants, zakenpartners, bezoekers, leveranciers, en zo meer. Vergeet daarbij niet om ook de anonieme gebruikers op te nemen, als je een openbare website of andere niet-controleerbare poorten gebruikt. Maak op je kaart een placeholder aan voor alle buitenstaanders, ongewenste indringers en niet-geauthoriseerde gebruikers.

In de volgende stap benoem je alle locaties waar je bedrijfsdata zich bevindt. Schrik niet, dit kan een uitputtende lijst worden. Het gaat onder andere om verschillende typen servers en bijvoorbeeld om smartphones, NASsen, mainfrain-computers en offline opslagmedia zoals schijfjes, tapes en usb-sticks. Classificeer al deze locaties op basis van standaard classificatieniveaus. Als één belangrijk bestand op een locatie kan worden aangemerkt als 'High Business Impact' (HBI), dan geef je meteen de volledige server of database het etiket 'HBI'.

Tekenen

Nu je dit allemaal op een rijtje hebt, wordt het tijd om de zaak grafisch weer te geven. Gebruik een programma zoals Microsoft Visio en trek lijnen tussen de gebruikers die je eerder in kaart bracht en de ingangen tot de data waar ze toegang toe moeten hebben. Als je manager bent binnen een grote of complexe bedrijfsorganisatie zal het diagram dat nu ontstaat al snel enorme proporties aannemen. Ik heb in regelmatig Visio-diagrammen gezien die meerdere vierkante meters besloegen. En dat, beste lezer, is dus de omgeving die jij geacht wordt te managen en te beschermen. Als dit de eerste keer is dat je dit zo op papier zet, vraag je dan eens af hoe je het voor elkaar wilt krijgen om deze omgeving goed te beveiligen zonder dat je dit overzicht hebt. Wordt de taak die je binnen je bedrijf hebt niet veel duidelijker nu?

Om gegevens goed te kunnen beschermen moet je virtuele beveiligingsdomeinen creëren. Daarmee houd je actoren weg van de niet voor hen bestemde toegangspoorten en kunnen ze niet bij data komen die niet voor hen bestemd is. Hoe je dit precies in moet richten hangt af van het type bedrijfsorganisatie waar je voor werkt. Sterker: het verschilt ook nog per type toegangspoort, gebruiker, dataopslag en dataklasse. De volgende stap die moet worden gezet behelst het opzetten van een authentificatiesysteem. Welke wijzen van authentificatie wil je ondersteunen? Eenvoudige inlognaam-wachtwoordcombinaties, fysieke methoden of ook 'multifactor'-authentificatie? Bedenk daarbij per toegangspoort, gebruikerstype en datasoort welke vorm acceptabel is.

Uiteraard moet je ook vastleggen hoe de verschillende gegevens moeten worden beschermd. Welk niveau van beveiliging hoort bij welk dataclassificatieniveau? Welke data moet alleen worden encrypt als hij wordt verplaatst, en bij welk type moet encryptie altijd worden toegepast? Dit soort vragen moet worden beantwoord als je de verschillende beveiligingsdomeinen in gaat richten.

Minder is minder

Het blijkt, ook in het kader van beveiliging, vaak een goed idee te zijn om een kritische blik te werpen op de hoeveelheid tools waar de IT-omgeving van je bedrijf over beschikt. Spreek met de betreffende afdelingen af dat alle tools die niet essentieel zijn, kunnen worden afgestoten. Als de FTP-server nooit wordt gebruikt, trek dan de stekker eruit en vervang hem door een systeem dat meer veiligheid biedt. Als bepaalde data niet wordt gebruikt en ook nooit zal worden gebruikt, delete het dan. Iedere gelegenheid om op deze manier het systeem van toegangspoorten en authentificatiemethoden te vereenvoudigen is welkom. 'Minder' is 'minder gecompliceerd', 'minder' betekent 'lagere bedrijfskosten' en bovenal staat 'minder' voor de mogelijkheid om tot een eenvoudiger beveiligingssysteem te komen.

We hebben alles in kaart en er zijn verschillende domeinen gedefinieerd. Er is nog één klus te klaren: er moeten zoveel mogelijk manieren worden bedacht om te bewerkstelligen dat de verschillende gebruikerstypen worden gescheiden en in de juiste beveiligingszones blijven. Voor dat doel gebruik je bijvoorbeeld routers, firewalls, toegangscontrole, authentificatie, VLAN's, IPSec, SSL en al die andere middelen die helpen bij het begrenzen van beveiligingsdomeinen. Het einddoel is dat ieder gebruikerstype binnen een domein blijft, en dat dit domein zich dus uitstrekt van de toegangspoort van die gebruiker tot het systeem of de dataset die de eindbestemming vormt. Het is prima om in dit kader een gebruikersverbinding te begrenzen met een firewall of proxy, maar het is nog veel beter om het betreffende beveiligingsdomein uit te strekken over de hele route naar de data. Daarmee wordt beter tegengegaan dat gebruikers domeingrenzen overschrijden en toegang krijgen tot data die aan een ander domein is gekoppeld.

Ik geef onmiddellijk toe dat het een enorm project is, dat ik zojuist heb beschreven. Je zult het niet in één keer kunnen uitvoeren, maar ik adviseer je om gewoon te beginnen en te zien of je het in een jaar tijd af kunt ronden. Iedere inspanning die je op deze manier verricht zal bijdragen aan de veiligheid van je bedrijfsgegevens. Mocht je onverhoopt niet aan alles toekomen, dan is dat geen ramp. In dat geval heb je in ieder geval inzicht gekregen in de onderdelen van het veiligheidsprogramma die in de toekomst nog kunnen worden verbeterd.

Bron: Techworld